+0.15%
60.30
+0.63%
66.7604
+0.08%
75.5137
+0.08%
1.1311
+0.18%
1226.03

Эксперты сообщили о масштабной атаке хакеров на российские банки

15 ноября, 19:20
83
По данным Group-IB, фишинговые письма, замаскированные под официальные сообщения ЦБ, получили в четверг более 50 российских банков. В «Лаборатории Касперского» назвали рассылку частью целевой атаки хакерской группы The Silence
Фото: Luke MacGregor / Bloomberg
В четверг, 15 ноября, эксперты компании ​Group-IB зафиксировали массовую рассылку вредоносных писем, направленных злоумышленниками в несколько десятков российских банков под видом официальных сообщений ЦБ.
«Письма с темой «Информация Центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа», — говорится в сообщении Group-IB.
В компании пояснили, что стиль и оформление фишинговых писем были практически идентичны официальным сообщениям Банка России, однако отправлены были с поддельного адреса регулятора.
В «Лаборатории Касперского» РБК подтвердили факт фишинговой рассылки, которая была замаскирована под уведомления от ЦБ. «Упоминание государственной организации в подобных случаях очень распространенная практика. Важно понимать, что настоящие ресурсы регулятора не были затронуты и остаются под защитой, фальшивые письма обычно только повторяют дизайн и стиль текста. Данная рассылка стала частью целевой атаки The Silence», — объяснил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
РБК отправил запрос в ЦБ.
По данным ​Group-IB, получателями фишинговых писем были не менее 52 банков в России и не менее пяти банков за границей, а общее число подвергшихся атаке банков может превысить сто.
При попытке распаковать приложенный к письму архивный файл пользователь загрузил бы на свой компьютер программу Silence.Downloader, используемую группировкой The Silence, в состав которой входят русскоязычные хакеры. Ранее она уже атаковала банки в России, на Украине, в Белоруссии, Азербайджане, Польше, Казахстане и Великобритании, а также системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.
По словам руководителя отдела динамического анализа вредоносного кода, эксперта по киберразведке Group-IB Рустама Миркасымова, The Silence входит в число наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций. ​
​«Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней. В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка. После анализа того, как используется внутрибанковское ПО, киберпреступники осуществляют перевод денежных средств», — рассказал Голованов.
​По данным Group-IB, в конце октября атаку на российские банки провела еще одна группировка хакеров — MoneyTaker. В ходе этой атаки с поддельного адреса «ФинЦЕРТ», структуры департамента информационной безопасности ЦБ, также были разосланы письма с опасными вложениями, замаскированными под соглашение о взаимодействии с ЦБ по вопросам мониторинга.
«Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов», — пояснил Миркасымов.
​В Group-IB пояснили, что информация о потенциальной угрозе была доведена до клиентов компании из числа российских банков.
По данным ЦБ, за первые восемь месяцев объемы хищений хакерами из банков снизились (по сравнению с январем—августом) в 14 раз, с 1,078 млрд до 76,5 млн руб.
Наверх